URLScan是一个可供网站管理员使用的加载项工具.管理员可以控制URLScan的操作并限制服务器处理的HTTP请求的类型.
默认安装UrlScan会,会禁用Web服务扩展-ActiveServerPages,当手工启用时,也不可用,在UrlScan的配置文件中UrlScan.ini默认的选项也会禁止使用一些扩展(让我调试了好半天,以为UrlScan和aspISAPI有冲突),以下为默认禁止扩展选项:
;DenyASPrequests
.asp
.cer
.cdx
.asa
这样一般会禁止掉某些cer,asa之类未过滤的上传漏洞.
还有一些选项可以禁止掉TRACE请求,RemoveServerHeader选项可以删除请求包中的IIS版本信息(Server:Microsoft-IIS/6.0),以及IIS目录解析漏洞 |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡